Mode d'accès d'Athena aux données enregistrées dans Lake Formation - Amazon Athena

Mode d'accès d'Athena aux données enregistrées dans Lake Formation

Le flux de travail d’accès décrit dans cette section s’applique lors de l’exécution de requêtes Athena sur des emplacements Amazon S3, des catalogues de données ou des objets de métadonnées enregistrés dans Lake Formation. Pour plus d'informations, consultez la rubrique Enregistrement d'un lac de données du Guide du développeur AWS Lake Formation. Outre l’enregistrement des données, l’administrateur Lake Formation applique des autorisations Lake Formation qui accordent ou révoquent l’accès aux métadonnées du catalogue de données, au AWS Glue Data Catalog ou à l’emplacement des données dans Amazon S3. Pour de plus amples informations, consultez Sécurité et contrôle d'accès aux métadonnées et données dans le Guide du développeur AWS Lake Formation.

Chaque fois qu’un principal Athena (utilisateur, groupe ou rôle) exécute une requête sur des données enregistrées à l’aide de Lake Formation, ce dernier vérifie que le principal dispose des autorisations Lake Formation appropriées sur la base de données, la table et l’emplacement de la source de données en fonction de la requête. Si le principal a accès, Lake Formation apporte des informations d'identification temporaires à Athena et la requête s'exécute.

Le schéma suivant illustre le fonctionnement de la distribution d’informations d’identification dans Athena, requête par requête, pour une requête SELECT hypothétique sur une table dont l’emplacement Amazon S3 est enregistré dans Lake Formation :

Flux de travail de distribution d'informations d'identification pour une requête sur une table Athena.

  1. Un principal exécute une requête SELECT dans Athena.

  2. Athena analyse la requête et vérifie les autorisations de Lake Formation pour voir si le principal a été autorisé à accéder à la table et à ses colonnes.

  3. Si le principal a accès, Athena demande des informations d'identification à Lake Formation. Si le principal n'a pas accès, Athena génère une erreur d'accès refusé.

  4. Lake Formation fournit à Athena les informations d’identification à utiliser lors de la lecture de données à partir d’Amazon S3 ou d’un catalogue, ainsi que la liste des colonnes autorisées.

  5. Athena utilise les informations d’identification temporaires de Lake Formation pour interroger les données à partir d’Amazon S3 ou d’un catalogue. Une fois la requête terminée, Athena supprime les informations d'identification.